cloud computing - la sicurezza nel cloud: problema o
TRANSCRIPT
XXV Convegno Nazionale AIEA
La sicurezza nel cloud: problema o opportunità?
XXV Convegno AIEA - Settembre 2011Mariangela Fagnani – IBM
XXV Convegno Nazionale AIEA
Agenda
Cloud Security: problemi e rischi
Come rendere sicuro il cloud computing
Sicurezza nei diversi modelli di Cloud
Sicurezza dal Cloud: il nuovo paradigma
Conclusioni
Case history
XXV Convegno Nazionale AIEA
Agenda
Cloud Security: problemi e rischi
Come rendere sicuro il cloud computing
Sicurezza nei diversi modelli di Cloud
Sicurezza dal Cloud: il nuovo paradigma
Conclusioni
Case history
XXV Convegno Nazionale AIEA
4
La sicurezza è una delle maggiori preoccupazioni nel cloud computing…
69%
54%
53%
52%
47%
Security/privacy of company data
Service quality
Doubts about true cost savings
Performance / Insufficient responsiveness over
networkDifficulty integrating
with in-house ITPercent rating the factor as a significant barrier (4 or 5)
Respondents could select multiple items
Source: IBM Market Insights, Cloud Computing Research, July 2009. n=1,090
Quali sono percepite come barriere attuali o potenziali per l'acquisizione di servizi public cloud ?
Recenti studi mostrano che la sicurezza e’ il principale inibitore per le aziendenell’adozione delle tecnologie cloud.
Source: Oliver Wyman Interviews
XXV Convegno Nazionale AIEA
I rischi introdotti con il cloud computing
MinorControllo
DataSecurity
Security Management
Compliance Reliability
Controlli necessari per gestire firewall e
configurazioni di sicurezzaper le applicazioni e gli
ambienti runtime nel cloud
Preoccupazionisull’alta affidabilità e perdita del servizio in caso di interruzione
Potenziale aumento delleesposizioni durante la
migrazione degli workloads verso una infrastruttura
condivisa
Restrizioni impostedalle normative di
settore sull’uso del cloud per alcune
applicazioni
Private Clouds Public Clouds
Rischi nei modelli di delivery di cloud privato, pubblico e
ibrido
Dove si trovano e dove sono archiviate le informazioni, chi ha accesso ad esse e ai backups,
come vengono monitorate e gestite, inclusa la resiliency
XXV Convegno Nazionale AIEA
Agenda
Cloud Security: problemi e rischi
Come rendere sicuro il cloud computing
Sicurezza nei diversi modelli di Cloud
Sicurezza dal Cloud: il nuovo paradigma
Conclusioni
Case history
© 2011 IBM Corporation
XXV Convegno Nazionale AIEA
Il cloud puo’ essere reso sicuro per il business
7
Come con la maggior parte dei paradigmi delle nuove tecnologie, i problemi di sicurezza che coinvolgono il cloudcomputing sono diventati i più discussiinibitori di un utilizzo diffuso.Per guadagnare la fiducia delle aziende, i servizi di cloud devono fornire livelli di sicurezza e privacy che soddisfano o superano ciò che è disponibile nei tradizionali ambienti IT.Allo stesso modo in cui le tecnologie (PC, outsourcing, Internet) di trasformazione del passato hanno superato le preoccupazioni delle aziende.
Trust
Traditional IT In the Cloud
Security and PrivacyExpectations
© 2011 IBM Corporation
XXV Convegno Nazionale AIEA
Il Cloud computing mette alla prova i limiti dell’infrastruttura e dellagestione della sicurezza
8
People and Identity
Application and Process
Network, Server and Endpoint
Data and Information
Physical Infrastructure
Governance, Risk and Compliance
Security and Privacy Domains
Multiple Logins, Onboarding Issues
Multi-tenancy, Shared Resources
Audit Silos, Logging Difficulties
Provider Controlled, Lack of Visibility
Virtualization, Reduced Access
External Facing, Quick Provisioning
To cloud
In un ambiente cloud, gli accessi si ampliano, le responsabilità e i controllicambiano, ed aumenta la velocita’ del provisioning delle risorse e delleapplicazioni – con impatti su tutti gli aspetti della sicurezza IT.
© 2011 IBM Corporation
XXV Convegno Nazionale AIEA
Agenda
Cloud Security: problemi e rischi
Come rendere sicuro il cloud computing
Sicurezza nei diversi modelli di Cloud
Sicurezza dal Cloud: il nuovo paradigma
Conclusioni
Case history
© 2011 IBM Corporation
XXV Convegno Nazionale AIEA
Differenti modelli di delivery del cloud cambiano anche il modo con cui affrontare la sicurezza
10
Private cloud Public cloudInfrastrutture cloud (on o off site) utilizzate esclusivamente per un’azienda e gestiti dall'organizzazione stessa o da una terza parte
A disposizione del pubblico in generale o di un grande
gruppo industriale e di proprieta’ di una
organizzazione di vendita di servizi cloud
Hybrid ITAmbienti IT tradizionali e clouds (public e/oprivate) che restano separati ma sono legati
insieme dalla tecnologia che abilita la trasferibilita’ dei dati e delle applicazioni
− Cliente responsabile dell’infrastruttura− Maggior personalizzazione dei controlli di sicurezza− Buona visibilità delle operazioni day-to-day− Facilità di accesso a logs e policies
− Fornitore responsabile dell’infrastruttura− Minor personalizzazione dei controlli di sicurezza− No visibilità delle operazioni day-to-day− Difficoltà di accesso a logs e policies
Cambiamenti perSecurity e Privacy
© 2011 IBM Corporation
XXV Convegno Nazionale AIEA
L’approccio e’ quello di sviluppare la sicurezza in linea con ogni fasedi un progetto o di una iniziativa cloud
Design Deploy ConsumeDefinire la strategia e ilpiano d implementazioneper migrare in cloud.
Costruire servizi cloud , per l’azienda e/o come cloudservices provider.
Gestire e ottimizzareconsumi di servizi cloud.
Examplesecuritycapabilities
Cloud security roadmap
Network threat protection
Server security
Database security
Application security
Virtualization security
Endpoint protection
Configuration and patch management
Identity and access management
Secure cloud communications
Manage and monitor security
Secure by DesignFocus sull’inclusione dellasecurity nella costruzionedel cloud.
Workload DrivenRendere sicure le risorsecloud con features e prodotti innovativi.
Service EnabledGovernare il cloud attraverso la gestione dellasicurezza e degli workflow.
CloudSecurity Approach
11
© 2011 IBM Corporation
XXV Convegno Nazionale AIEA
Capabilities provided to consumers for using a provider’s applications
Key security focus:Applications and Identity
Harden exposed web appsSecurely federate identityDeploy access controlsEncrypt communicationsManage application policies
Integrated service management, automation, provisioning, self service
Key security focus:Infrastructure
Manage datacenter identities Secure virtual machinesPatch default imagesMonitor logs on all resourcesDefend network threats
Pre-built, pre-integrated IT infrastructures tuned to application-specific needs
Key security focus:Data and Information
Secure shared databasesEncrypt private information Build secure applicationsKeep an audit trailIntegrate existing security
Advanced platform for creating, managing, and monetizing cloud services
Key security focus:Governance and Compliance
Isolate cloud tenantsSecure portals and APIsManage security operationsBuild compliant data centersOffer backup and resiliency
Stanno emergendo modelli di riferimento per sviluppare con successoiniziative cloud: ogni modello e’ caratterizzato da specifiche problematiche disicurezza
Cloud Enabled Data Center Cloud Platform Services Cloud Service Provider Business Solutions on Cloud
12
Infrastructure as a Service (IaaS): Ridurre i costi e la complessitàdell’IT attraverso cloud data centers
Platform-as-a-Service (PaaS): Accelerare time to market con servizi dipiattaforma in cloud
Innovare ibusiness models diventando un cloud service provider
Software as a Service (SaaS): Ottenereaccesso immediatoad applicazioni dibusiness on cloud
© 2011 IBM Corporation
XXV Convegno Nazionale AIEA
Esempio - Rendere sicuro l’accesso ai public clouds
13
Accesso sicuro, a livello globale , alleapplicazioni Software as a Service .
Il cliente richiede l’accesso sicuro usando una soluzionecentralizzata di identity management alle applicazioni SaaSpublic – incluse le applicazioni Google app e Salesforce.com.
Business challenge
• Federated Identity Manager• Identity Manager
Security solutions
• Soluzione di strong authentication per un accessosicuro e federato all’infrastruttura cloud
• Provision e de-provision di utenti nel registro dei cloud providers
Key security requirements
Hosted in an IBM environment
French Energy Company
Business Solutions on CloudBusiness Solutions on Cloud
© 2011 IBM Corporation
XXV Convegno Nazionale AIEA
Agenda
Cloud Security: problemi e rischi
Come rendere sicuro il cloud computing
Sicurezza nei diversi modelli di Cloud
Sicurezza dal Cloud: il nuovo paradigma
Conclusioni
Case history
© 2011 IBM Corporation
XXV Convegno Nazionale AIEA
Security for the Cloud Security from the Cloud
Il nuovo paradigma… cosa sono i Cloud-based Security Services ??
Cloud-based Security Services (aka Hosted Security or Security SaaS): l’erogazione dellefunzionalità del software di sicurezza avvieneattraverso un modello di subscription suInternet. Il cliente non diventa proprietariodell’applicazione ma invece fa il ‘subscribes’ ad una soluzione erogata remotamente.
Aiutare le aziende che iniziano il loropercorso verso il cloud con rilevantiesperienze di sicurezza
Vantaggi di una soluzione Cloud-based Security :– Capacità di proteggere gli utenti e di sfruttare le funzioni di security intelligence di livello globale– Basso investimento iniziale e bassi costi di implementazione– Minori costi on going di gestione operativa – Maggior velocita’ di implementazione e ritorno dell’investimento – Capacità di standardizzare la sicurezza su una singola piattaforma– Liberare le risorse per concentrarsi su obiettivi prioritari per il business dell’azienda
© 2011 IBM Corporation
XXV Convegno Nazionale AIEA
Alcuni esempi di Cloud Security Services integrati e innovativi
AntiVirus, AntiSpam, Image Control, Content Control„washing machine“ for eMailseMail security
Cloud SecurityServices
AntiVirus, Anti Spyware, URL Filtering„washing machine“ for Web trafficWeb security
Standard : no alertingSelect : automated alerting
Log event collection and archivalSecurity Event & Log Management
Internal ScanningExternal Scanning
Ongoing internal and external vulnerabilty assessments, regulation compliance (PCI)
Vulnerability Management
Filtering of vulnerabilitiesInternet Threat analysis ServiceX-Force Threat Analysis
Pre-production application scanning
Production application scanning
Compliance policy scanning
identify and prioritize Web application security risks in applications that are in pre-production or productionenvironmentstests for common Web application vulnerabilities including Cross-Site Scripting, Buffer Overflow, and new flash/flex application and Web 2.0 exposure scans. scan and detect embedded Malware in web properties providing further protection against cyber-attacks.
Application Security Management
Description OptionsThreat Mitigation Service Name
Easy Sourcing options - no on-site security infrastructure required - vendor neutralFlexible payment models - subscription based, price per logical unit (user, device)Off-the-shelf 24x7 services - up and running in a matter of weeks, not monthsOn demand global coverage – highly scalable, virtualized and secure infrastructureFully integrated Virtual SOC - Compliance Dashboard and Threat portal
© 2011 IBM Corporation
XXV Convegno Nazionale AIEA
La distribuzione e l’interconnessione dei Security Operations Centers (SOC) a livello globale garantisce la continuita’ dei servizi cloud
9 security operations
centers
9 securityresearchcenters
133monitoredcountries
30,000+devices under
contract
3,800+MSS clientsworldwide
9 billion+eventsper day
© 2011 IBM Corporation
XXV Convegno Nazionale AIEA
Source: 2009 Wave X SWG Buying Occasion Study; Key Issues for Technology Providers: Security Markets, 2010, Gartner March 9, 2010; Growth Trends in Security as a Service, Gartner, August 2010
1. Efficienza dei costi: Security as a service puo’ fornire la sicurezza ad un costo inferiore in particolare per le piccole imprese.
2. Efficacia: i fornitori di Security-as-a-service, gestendo i controlli di sicurezza di più clienti, identificano piùvelocemente nuove minacce o vulnerabilità. Poiché il fornitore di Security as-a-service è anche il fornitore della tecnologia sottostante che implementa i controlli di sicurezza, i clienti ricevono aggiornamenti e correzioni di problemi non appena sono disponibili, eliminando lunghi processi di gestione o di auto-provisioning per implementare gli aggiornamenti dei controlli di sicurezza.
3. Flessibilità:. Security as a service può essere acquistato come opex, piuttosto che attraverso spese in conto capitale. Utilizzando la modalità Security as a service, si puo’facilmente modificare dove e come viene gestita la sicurezza.
3020Application Security Assessment & Testing
255Cloud Managed Identity
8060Security Threat Intelligence &
Vulnerability data
153Hosted Security Info, Event, Mmgt (SIEM)
5025Hosted Vulnerability Scanning Management
405Hosted Secure Web Gateway
Growth Areas through to 2015 “Security as a Service”
30
2010
% Security as a Service Delivery
Hosted Secure email Gateway
Security Function
50
2015
Security as a Service attrae le piccole aziendetanto quanto le aziende più grandi, …. per tre
ragioni
Nuove minacce e complessita’ crescente: il desiderio di controllare i costi sta alimentando la crescita di “Security as a Service”
Source: 2009 Wave X SWG Buying Occasion Study; Key Issues for Technology Providers: Security Markets, 2010, Gartner March 9, 2010; Growth Trends in Security as a Service, Gartner, August 2010
© 2011 IBM Corporation
XXV Convegno Nazionale AIEA
Agenda
Cloud Security: problemi e rischi
Come rendere sicuro il cloud computing
Sicurezza nei diversi modelli di Cloud
Sicurezza dal Cloud: il nuovo paradigma
Conclusioni
Case history
© 2011 IBM Corporation
XXV Convegno Nazionale AIEA
ConclusioniIl Cloud Computing sta accelerando il modo in cui le aziende proteggono le loro informazioni critiche, spostando il focus dalla sicurezza dell’ endpoint e della rete, ad una protezione olistica dei dati
Il Cloud puo’ fornire maggiore sicurezza al patrimonio informativo in quanto richiede di eseguire riflessioniin merito a come impostare gli aspetti di Security e Compliance dei dati e dei servizi sia da parte del cliente che da parte del fornitore
Garantire la sicurezza negli ambienti Cloud richiede specifiche:– Metodologie – Processi e organizzazione– Infrastrutture – Competenze– Certificazioni– Service Level Agreements
Il Cloud Computing puo’ fornire Servizi di Sicurezza (SaaS) con i seguenti benefici:– Basso investimento iniziale e bassi costi di implementazione– Minori costi di gestione operativa– Maggior velocita’ di implementazione e ritorno dell’investimento
Anche le piccole aziende possono benificiare di servizi di sicurezza innovativi , al pari di grandi aziende
Il Cloud puo’ essere piu’ sicuro degli ambienti tradizionali, per i seguenti motivi:– Servizi di sicurezza specializzati per gli workload– Maggiori risorse per la sicurezza– Security as Service: le migliori tecnologie ad un costo accettabile– Competenze
© 2011 IBM Corporation
XXV Convegno Nazionale AIEA
IBM continua gli investimenti nella ricerca, nei test e neldocumentare gli approcci sempre piu’ focalizzati sulla cloud security
21
IBM ResearchSpeciale focalizzazione della ricerca sui temi di cloud security
IBM X-ForceInformazioni proattive sulle minacce emergenti
Customer CouncilsFeedback dai clienti che adottano il cloud
Standards ParticipationClient-focused open standards e interoperabilità
IBM Institute for Advanced SecurityCollaborazione tra il mondo accademico, le aziende, i governi e la comunità tecnica IBM
© 2011 IBM Corporation
XXV Convegno Nazionale AIEA
Da dove cominciare? - Best Practices per implementare la Cloud Security
IBM Cloud Security Guidance documentBased on cross-IBM research, customer
interaction and ISO security standards
Highlights a series of best practice controls that should be implemented
Broken into 7 critical infrastructure components:
– Building a Security Program
– Confidential Data Protection
– Implementing Strong Access and Identity
– Application Provisioning and De-provisioning
– Governance Audit Management
– Vulnerability Management
– Testing and Validation
http://www.redbooks.ibm.com/abstracts/redp4614.html
Cloud Security WhitepaperTrust needs to be achieved, especially when datais stored in new ways and in new locations, including for example different countries.
This paper is provided to stimulate discussion by looking at three areas:
– What is different about cloud? – What are the new security challenges cloud
introduces? – What can be done and what should be considered
further?
http://www-03.ibm.com/press/us/en/attachment/32799.wss?fileId=ATTACH_FILE1&fileName=10-0861_US%20Cloud%20Computing%20White%20Paper_Final_LR.pdf
© 2011 IBM Corporation
XXV Convegno Nazionale AIEA
Agenda
Cloud Security: problemi e rischi
Come rendere sicuro il cloud computing
Sicurezza nei diversi modelli di Cloud
Sicurezza dal Cloud: il nuovo paradigma
Conclusioni
Case history
© 2011 IBM Corporation
XXV Convegno Nazionale AIEA
ObiettivoIl Cliente chiede il supporto di IBM per valutare la robustezza della sua architettura di
sicurezza, dei processi e delle policy associati alla soluzione Cloud.L’obiettivo è quello di determinare i potenziali rischi associati ai servizi IT
identificando i controlli più appropriati per ridurre o eliminare rischi
Si è condotta una analisi del rischio, attraverso interviste e penetration test a livello infrastrutturale, valutando l’infrastruttura Cloud rispetto alle best practicesesistenti, partendo dagli obiettivi di sicurezza del ClienteNel seguito vengono presentate le principali aree di attenzione emerse
Approccio
Case history: Cloud Security Assessment
Evidenza delle esposizioni da indirizzareRoadmap per migrare ad un ambiente cloud in linea con gli obiettivi di sicurezza e la strategia di business dell’azienda
Benefici
© 2011 IBM Corporation
XXV Convegno Nazionale AIEA
Case history: Cloud Security Assessment
MetodologiaIntraprendere un percorso evolutivo verso il cloud non significa stravolgere i propri processi di
analisi del rischio : la metodologia utilizzata non viene rivoluzionata, ma viene estesa a nuovi domini:
1. Si classificano i servizi Cloud secondo il concetto di workload (E’ ancora un processo data driven)
2. Si trovano i gap fra l’architettura Cloud esistente el’architettura ideale per il workload in esamei requisiti di business le normative vigenti
3. Capire quali erano i controlli esistenti e quali ancora da sviluppare
Source: Picture from Security Guidance for Critical Areas of Focus in CC from CSA
© 2011 IBM Corporation
XXV Convegno Nazionale AIEA
Case history: Cloud Security Assessment
Finding 1: Dove dobbiamo tracciare la linea della sicurezza?
Dai primi workshop sul Cloud Computing emerge che il cliente associa la sicurezza del cloud alla sicurezza negli ambienti virtualizzati
Ci sono altri domini da prendere in considerazione come:
– L’infrastruttura di provisioning
– Lo storage
– Il patch management
– Il controllo accessi Federato
– La sicurezza delle applicazioni
– La corretta profilatura sul management dell’infrastruttura
© 2011 IBM Corporation
XXV Convegno Nazionale AIEA
Finding 2: Affrontare un nuovo paradigma con un mindset inadeguato
Il cliente vuole applicare lo stesso approccio di sicurezza e gli stessi controlli utilizzati in passato per il suo IT tradizionale
C’e’ una carenza di conoscenza ed esperienza su come gestire ambienti virtuali/multi tenant
MORE COMPONENTS = MORE EXPOSURE?Nuovi componenti necessitano di nuovi controlli di sicurezza come:Certificazioni esterne come i Common CriteriaFeatures di sicurezza offerte direttamente dalla tecnologia adottata (ex: firewall,
hardening predefinito, DoS mitigation)Prodotti specifici integrati direttamente con l’hypervisorPatching
Case history: Cloud Security Assessment
© 2011 IBM Corporation
XXV Convegno Nazionale AIEA
Finding 3: Focus solo su parte dell’infrastruttura
Il cliente pone grande attenzione alla segregazione dei flussi dati fra le varie VM grazie a VLAN, FW ed encryption;L’assunzione è che i dati “at rest” sono all’interno delle VM o protetti anche a livello SAN
Service ACriticity 3
Service B Criticity 3
Service ACriticity 1
•L’ infrastruttura Storage è cresciuta isolata all’interno dell’IT con un focus solo sulla disponibilità e la resilienza
• Gli Auditor e gli esperti di sicurezza hanno trattato lo storage solo come “spazio disco”disponibile per VM
Case history: Cloud Security Assessment
© 2011 IBM Corporation
XXV Convegno Nazionale AIEA
Case history: Cloud Security Assessment
In conclusione
Operare una Risk Analysis in un ambiente cloud significa estendere la metodologia esistente piuttosto che cambiarla
La Risk Analysis deve prendere in considerazione la tipologia di workload, il tipo di delivery model utilizzato (IASS, PASS SAAS), il business value per il cliente
La sicurezza nel Cloud non si deve limitare alla sicurezza dell’infrastruttura Virtuale
Bisogna mantenere sempre un approccio olistico e non focalizzarsi solo sulle tecnologie nuove od emergenti in via di adozione
© 2011 IBM Corporation
XXV Convegno Nazionale AIEA
30
Domande??